Schadsoftware eingefangen!

db1986

Member
Hi leudde

Vor ein paar minuten hat mein hotmail konto eine sogenannte "Spam" an meine adressenliste verschickt!

Ein kolleg hat mir diese dann zurückgemailt und es handel sich um eine ctksu.com internetadresse, noch nie davon gehört

Habe danach umgehen...
Ad-Aware
a-squared Free
Spywareterminator
Sophos Anti Rootkit
AVG Anti Rootkit
CCleaner
Spyboot

durchlaufen lassen, haben aber alle nichts gefunden. Heute morgen habe ich mit dem Spyterminator den trojaner "Trojan.Agent.259360" gekillt habe, eine DivXComponent.exe Datei, diese ist jetzt auch nicht mehr vorhanden in diesem Ordner.

Die Spam wurde aber nur beim einen hotmail/msn konto verschickt, nicht aber beim zweiten wo ich auch noch besitze, sofern könnte es auch sein, das evtl. das passwort beim ersten konto gehackt wurde?

Es wurden insgesammt 3 emails verschickt, die alle noch schön im Postausgang bei den gesendet sind!?

Dazu läuft im Hintergrund Kaspersky, Spywareterminator und Spyboot

Wo liegt das Problem?

hier noch das Logfile vom Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:04, on 11.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sttray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\eMule\emule.exe
C:\Programme\MediaMonkey\MediaMonkey.exe
C:\Programme\QuickDic\QuickDic.exe
C:\Programme\KillProcess\KillProcess.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\a-squared Free\a2free.exe
C:\Programme\Ad-Aware 2007\Ad-Aware2007.exe
C:\Programme\Eusing Free Registry Cleaner\Regcleaner.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
J:\Persönliche Daten\Internet Security\RootAlyzer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spyware Terminator\SpywareTerminator.exe
C:\Dokumente und Einstellungen\Dan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UB70G5IN\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Tucan] "J:\Persönliche Daten\Internet Security\PAVARK.exe" /Monitor
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) -
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
 
Hallo db1986

Ich kann dir nur zustimmen, heute um 18.14 Uhr wurden ebenfalls 3 E-Mails an alle meine Kontakte versandt von meinem Hotmail-Account aus. Ebenfalls handelt es sich dabei um "ctksu.com"-Werbung.

Ich habe Spybot S&D, Ad Aware und Kaspersky (geupdated) durchlaufen lassen und es wurde nichts gefunden.

Hat jemand eine Erklärung dafür? Bzw was können wir dagegen unternehmen?

lg polami


EDIT: Ich editiere mal hier, damit aussenstehende nicht das gefühl haben, dass hier schon geholfen wurde!

Die Prüfung mit Spyware Terminator fand 2 Schädlinge: RemoteAdmin.NetCat und APPL.Xema.A.

Ich habe diese beiden "infizierten" Dateien gelöscht.
 
Zuletzt bearbeitet:
toll hehe... zumindest nicht alleine

also wie gesagt, ich besitzt 2 konten, aber es wurde nur von einem aus gesendet

da denke ich mal, das es keine schädliche software sein kann, sondern es mit hotmail und entweder das passwort gehackt oder was weiss ich.

würde dein passwort noch ändern und meld dich, wenns nochmal passieren würde​


EDIT (autom. Beitragszusammenführung):


versuch mal noch den spywareterminator, und gib mir bescheid, ob der mit der erweiterten scannfunktion was gefunden hat
 
Zuletzt bearbeitet:
hallo

ich habe eine neue Erkenntnis und zwar habe ich mein System mit SuperAntiSpyware ( oder google) gescannt und einen Trojaner (Trojan.Dropper/Multi-MBAD) gefunden. Bisschen darüber gesucht und herausgefunden, dass noch ein dritter diesen Trojaner gestern eingefangen hat. (Quelle )

Ich habe ihn mit SuperAntiSpyware entfernt. Die Datei hiess mota113 oder so ähnlich und befand sich in Windows\System32\

Schau mal bitte, ob du diesen auch drauf hast. Vielleicht ist das der Problemverursacher.

mfg

PS: Siehe mein Edit im 1. Post als antwort auf deine vorherige frage.
 
Zuletzt bearbeitet:
Ich bin jetzt daran, denn PC neu aufzusetzten.

Keine Lust "im Dunkeln" zu stehen, so weiss ich zumindest, dass das Problem nach dem Neustart aus der Welt ist, resp. die Schaddatei und ich werde mir auch noch eine neue E-Mail Adresse zutun und die alte abstellen.

Das Problem sollte sich daher meiner Meinung nach in Luft aufgelöst haben für mich zumindest.

Würde mich aber wundernehmen, wenn du mich auf dem Laufenden hälst, wie es bei dir weitergeht!?​
 

Online-Statistiken

Zurzeit aktive Mitglieder
0
Zurzeit aktive Gäste
32
Besucher gesamt
32

Beliebte Forum-Themen

Zurück
Oben Unten